Revenons en 1994. Inutile de sortir votre bipeur ou d'enfiler votre chemise en flanelle. C'est l'année où le premier protocole SSL a vu le jour. Il a été lancé par Netscape pour répondre au besoin croissant de renforcer la sécurité de cette nouvelle invention qu'est l'internet.
Plusieurs versions de SSL plus tard, il s'est transformé en TLS que nous connaissons aujourd'hui. Cependant, comme un mauvais surnom, nous continuons à nous référer à TLS en tant que SSL.
Depuis les premiers jours de l'apparition des navigateurs web, la sécurité des certificats SSL n'a cessé de poser des problèmes. Les cybercriminels adorent mettre en œuvre des escroqueries par hameçonnage en utilisant des certificats SSL et en les faisant passer pour des sites de confiance. Cette escroquerie existe depuis 2005, date à laquelle les premiers témoignages d'hameçonnage à l'aide de certificats SSL ont été publiés.
Selon un rapport de l'Anti-Phishing Working Group (APWG) et du contributeur PhishLabs, au cours du premier trimestre 2021, 83% des sites d'hameçonnage avaient activé le cryptage SSL . Étonnamment, c'est la première fois que ce chiffre plafonne depuis que PhishLabs a commencé l'étude en 2015.
Mais les organisations ne doivent pas se servir de cette nouvelle comme d'une raison pour baisser leur garde contre les attaques de phishing sur SSL . D'autant plus que les menaces d'hameçonnage sont globalement en hausse, le nombre total ayant augmenté de 22% au cours du premier semestre 2021.
Pourquoi les attaquants aiment aller sur SSL phishing
C'est Ronald Reagan qui a inventé le proverbe "faites confiance, mais vérifiez" et c'est particulièrement vrai lorsqu'il s'agit des certificats SSL . Ce petit symbole de cadenas dans le navigateur vous donne l'assurance d'être protégé et de ne pas voir quelqu'un s'enfuir avec tout votre argent. Or, ce sont les cybercriminels qui cherchent à briser cette confiance.
SSL Les certificats HTTPS sont censés protéger tout ce qui est précieux pour un cybercriminel, depuis la date de votre anniversaire jusqu'à celle de votre dernier retrait bancaire. Les sites HTTPS frauduleux sont la porte d'entrée favorite de ces informations pour les pirates qui savent comment donner facilement un faux sentiment de sécurité. Il est relativement simple pour eux de créer un faux site HTTPS avec ce cadenas de confiance dans des attaques qui sont souvent décrites comme "à faible risque et à forte récompense".
Le mode opératoire des attaquants consiste généralement à obtenir des certificats SSL originaux pour des domaines "lookalike" ou "typo-squatting" ou à voler purement et simplement des certificats SSL . Une étude de Deloitte a révélé que 91% de toutes les cyberattaques commencent par un courriel d'hameçonnage adressé à des victimes qui ne s'y attendent pas. Celles-ci sont généralement attirées vers les sites par un lien dans un courriel envoyé par une adresse légitime, comme celle d'une entreprise réputée ou d'une personne connue.
Au cours du deuxième trimestre de cette année, 90.5% des sites d'hameçonnage utilisaient des certificats SSL validés par le domaine (DV). Les certificats validés par l'organisation (OV) étaient les deuxièmes plus populaires parmi les cybercriminels et représentaient 9.51% des certificats SSL . Les certificats DV ont probablement été les plus prisés parce qu'ils sont faciles à acquérir et souvent gratuits. Les certificats OV exigent généralement du propriétaire du domaine qu'il prenne des mesures supplémentaires pour authentifier le site.
Seulement 11 sites disposaient de certificats Extended Validation (EV). Ces sites sont tous des sites légitimes qui ont été piratés et non des sites construits par des attaquants qui ont acquis d'une manière ou d'une autre des certificats EV.
Les différents types d'attaques de phishing HTTPS
Sony Pictures est peut-être l'un des exemples les plus connus d'utilisation d'e-mails et de sites similaires pour des expéditions d'hameçonnage. En 2014, ce qui s'est probablement passé, c'est que des pirates ont envoyé de faux courriels d'identification Apple à des employés de Sony. Le personnel qui a cliqué sur le lien de l'e-mail a été dirigé vers un site Web d'Apple qui ressemblait beaucoup au vrai. Les pirates ont alors pu s'infiltrer dans l'entreprise et voler des mots de passe, des identifiants et d'autres données précieuses.
Malgré la popularité d'Apple auprès des attaquants, la société n'est même pas entrée dans le top 10 de la liste annuelle de Vade des marques les plus usurpées dans les attaques de phishing. Pour la troisième année consécutive, la première place revient à Microsoft. La société a enregistré 30 621 URL uniques de phishing. Facebook suit avec 14 876 URL et PayPal, Chase et eBay complètent le top cinq.
Voici un examen plus approfondi de certains types courants d'attaques de phishing par HTTPS. Ces techniques sont en constante évolution, et nombre d'entre elles sont utilisées en combinaison pour constituer une menace encore plus grande.
- Attaque de l'homme du milieu (MITM) : Les attaquants écoutent les conversations sécurisées entre deux parties qui pensent simplement communiquer l'une avec l'autre et obtiennent souvent un accès en utilisant des certificats SSL expirés.
- SSL Attaque par dépouillement : Il s'agit d'une forme d'attaque de l'homme du milieu dans laquelle les pirates rétrogradent une connexion web du protocole HTTPS, plus sûr, au protocole HTTP, moins sûr, en en supprimant le cryptage.
- Certificats Wildcard : Les attaquants utilisent une clé privée volée pour accéder à un certificat Wildcard ou ils trompent l'autorité de certification pour qu'elle l'émette pour une fausse entreprise.
L'hameçonnage HTTPS et la pandémie COVID-19
Il n'est pas surprenant que les cybercriminels profitent de la pandémie pour lancer des attaques de phishing HTTPS. Ils s'attaquent aux personnes qui traversent une période difficile en utilisant des tactiques d'ingénierie sociale qui les attirent vers des sites web frauduleux vantant tout, des remèdes aux fausses nouvelles.
SpyCloud a analysé une liste de plus de 136 000 noms d'hôtes et noms de domaines pleinement qualifiés ayant pour thème COVID-19 ou coronavirus. Il a constaté que 78.4% des domaines à thème COVID-19 utilisaient HTTP et le reste HTTPS.
Les tentatives d'hameçonnage liées à une pandémie ont augmenté en juin 2021 33% alors que les campagnes de menaces sur le thème de COVID-19 ont connu une accalmie au printemps et au début de l'été 2021, lorsque les inquiétudes suscitées par le virus se sont temporairement dissipées. Le pic de juin s'est produit au moment où les recherches Google sur la "variante Delta" atteignaient leur apogée.
On constate également une augmentation du nombre d'entreprises qui demandent à leurs employés d'envoyer une preuve de vaccination (avec la date de naissance !) ou les résultats d'un test personnel de dépistage du coronavirus par le biais d'un formulaire non sécurisé ou d'un téléchargement, ce qui est propice aux pirates informatiques. Une autre méthode en plein essor est l'envoi d'e-mails de courriels d'hameçonnage annonçant aux employés qu'ils perdent leur emploi à cause de la pandémie.
En raison de la pandémie, de nombreuses entreprises ont opté pour le travail à domicile. Cependant, les organisations n'ont pas appliqué leurs protocoles de cybersécurité et les employés ont travaillé à domicile sans grande surveillance. Plus de la moitié des responsables informatiques pensent que les employés ont adopté de mauvais comportements en matière de cybersécurité depuis qu'ils travaillent à distance.
Le travail à distance a entraîné une dépendance accrue à l'égard des applications en nuage. Microsoft Office 365 a été une plateforme de choix pour les travailleurs distribués, et on estime qu'Office 365 est utilisé par plus d'un million d'entreprises dans le monde. Le problème, c'est qu'Office 365 est très apprécié des pirates informatiques. Il y a eu un volume élevé de multiples tentatives d'hameçonnage d'entreprises visant à voler les identifiants Microsoft Office 365. Les victimes sont souvent invitées à saisir leurs identifiants de connexion Microsoft sur des sites imposteurs qui semblent réels mais qui ne disposent pas du certificat SSL approprié.
Ou bien les criminels s'attaquent aux filiales de Microsoft, comme Mimecast, son service de gestion du courrier électronique basé sur le cloud. Au début de l'année, Mimecast a affirmé que des attaquants s'en étaient pris au certificat numérique qu'elle fournissait à certains clients pour connecter en toute sécurité ses produits à Microsoft 365. Le certificat compromis était très probablement un certificat SSL de confiance émis pour Mimecast.
Protéger votre entreprise contre le phishing HTTPS
En février 2021, Google Chrome représentait environ 46% de la part de marché globale du navigateur internet aux États-Unis. Google indique que plus de 90% des chargements de pages dans Chrome sur la plupart des systèmes d'exploitation se font par HTTPS plutôt que par HTTP. À partir de cette année, le navigateur web Chrome de Google proposera une option par défaut pour le "mode HTTPS uniquement". Ce nouveau paramètre apparaîtra sous la forme d'une simple bascule dans la page de sécurité des paramètres et, une fois activé, il rendra les sites web HTTP inaccessibles.
En outre, Google souhaite retirer l'icône du cadenas et envisage de la remplacer par un chevron/caret orienté vers le bas, qui ouvre un menu permettant de définir les autorisations du site et de consulter d'autres informations le concernant. Dans l'enquête menée par Google auprès de répondants moyennement avertis sur le plan technologique, seuls 11% des participants ont pu identifier correctement la signification de l'icône du cadenas. Certains pensaient qu'il s'agissait de l'icône des signets ou de la favicon du site. Ce problème n'est qu'une étape supplémentaire dans la compréhension du fait que ce n'est pas parce qu'un site est doté du protocole HTTPS qu'il est garanti qu'il est digne de confiance.
La formation à la cybersécurité de votre entreprise comporte probablement une section sur les attaques par hameçonnage, mais vérifiez bien qu'elle couvre spécifiquement le hameçonnage lié au protocole HTTPS. Pendant longtemps, les employés ont supposé que s'ils voyaient le symbole du cadenas, ils savaient que la page qu'ils visitaient était sûre. Sensibilisez-les aux cybermenaces du protocole HTTPS afin de mieux protéger votre organisation contre les tentatives d'hameçonnage utilisant des certificats SSL .
Voici quelques conseils simples à partager avec votre entreprise :
- Si un employé reçoit un courriel suspect contenant un lien, demandez-lui de téléphoner ou d'envoyer un courriel (pas de réponse) à la personne concernée et de lui demander si c'est elle qui l'a envoyé. Cela vaut pour les personnes à l'intérieur et à l'extérieur de l'organisation.
- Examinez attentivement l'URL du site web et vérifiez s'il y a des fautes d'orthographe ou un domaine erroné, comme l'utilisation de .gov au lieu de .com. Conseillez-leur de taper l'URL directement dans leur navigateur au lieu de cliquer directement sur le lien.
- Apprenez à l'employé à survoler le lien pour vérifier si la destination est correcte. Insistez sur le fait que la personne ne doit que survoler le lien et non cliquer dessus, même s'il semble s'agir d'un site sûr.
- Évitez d'utiliser des certificats de type "wildcard" sur les systèmes de production, ce qui augmente le risque et la surface d'attaque en cas de compromission d'un serveur ou d'un certificat.
